Sécurité numérique des établissements publics de santé

Question de Mme GUILLOTIN Véronique (Meurthe-et-Moselle - RDSE) publiée le 06/04/2023

Mme Véronique Guillotin interroge M. le ministre de la santé et de la prévention sur les moyens d'aide à la sécurisation numérique des établissements publics de santé. L'agence nationale de la sécurité des systèmes d'information (ANSSI) a publié le 24 janvier 2023 son panorama de la cybermenace 2022 et a démontré que la menace cyber était persistante pour les établissements publics de santé. Ces attaques à répétition prennent des formes toujours plus originales et les établissements de santé doivent aujourd'hui se protéger des phénomènes d'hameçonnage, de rançongiciels ou de piratage de données. De telles protections numériques nécessitent des moyens et des connaissances précises des procédures à adopter, dont tous les établissements ne peuvent se munir. Parmi les organismes publics victimes, les attaques contre les hôpitaux se sont multipliées en 2022, comme à Saint-Dizier, Vitry-le-François, Corbeil-Essonnes, Versailles ou Cahors. Eu égard au caractère particulièrement confidentiel des données conservées par les établissements de santé et l'impact que pourrait avoir la diffusion massive des informations personnelles des patients et personnels de santé, il convient d'aider les établissements publics de santé à acquérir une sécurité numérique plus efficace. Ainsi, elle lui demande quelles mesures sont mises en oeuvre et envisagées pour aider chaque établissement de santé à mieux protéger les données de ses patients et assurer sa sécurité numérique.

Publiée dans le JO Sénat du 06/04/2023 - page 2308

Transmise au Ministère de la santé et de la prévention

Réponse du Ministère de la santé et de la prévention publiée le 21/09/2023

La sécurisation des systèmes d'information hospitaliers (SIH) constitue l'un des fondements stratégiques de la politique numérique mise en oeuvre par le ministère de la santé et de la prévention. Les premiers accompagnements hospitaliers ont débuté dès 2012 par une mise en place des prérequis relatifs à la sécurité numérique. Ils ont été portés par les différents programmes de financement des systèmes d'information hospitaliers : Plan Hôpital Numérique 2012-2017 et programme HOPE'N 2018-2022, ainsi que dans le cadre du volet numérique du Ségur de la santé. Dès 2021, le ministère a renforcé la panoplie des outils contribuant à la fois à l'organisation du déploiement rapide des mesures de sécurité, et à en évaluer les effets. L'Agence nationale de sécurité des systèmes informatiques (ANSSI) et l'Agence du numérique en santé (ANS) réalisent des audits de sécurité pour les établissements de santé. L'ANS propose par ailleurs des kits destinés aux établissements pour organiser leurs exercices de crise. Le référentiel MATURIN'H, outil d'amélioration continue de la qualité des systèmes d'information, permet à chaque établissement d'évaluer son niveau de maturité au regard des mesures prioritaires du domaine de la cybersécurité, et d'objectiver les actions entreprises. L'Observatoire permanent de la sécurité des systèmes d'information des établissements de santé (OPSSIES), annoncé par le Président de la République lors de la présentation de la stratégie nationale pour la cybersécurité en 2021, constitue un outil d'aide à la décision pour les acteurs nationaux et régionaux dans la lutte contre la cybercriminalité dirigée contre le secteur sanitaire. Sur le volet financier, les établissements déclarés OSE (Opérateurs de services essentiels) ayant réalisé les audits couvrant les annuaires centraux et de cybersurveillance sont éligibles à un accompagnement financier dans le cadre des aides à la contractualisation (AC) portées par les agences régionales de santé. À ces mesures s'ajoutent des accompagnements financiers dans le cadre, du Ségur relevant du fonds pour la modernisation et l'investissement en santé (FMIS), et du plan France Relance, dont une partie est affectée à la mise en place de « parcours de cybersécurité ». Pour accompagner les équipes hospitalières, le guide d'aide à la préparation de la gestion du risque numérique (plan blanc numérique), annoncé en décembre 2022 par le Gouvernement, a été transmis le 15 juin 2023 aux agences régionales de santé pour diffusion auprès des établissements de santé. Ce guide vise à fournir un cadre méthodologique et pratique pour prévenir le risque numérique, et des recommandations à suivre pour gérer au mieux une cyberattaque, et ses conséquences, dans l'environnement hospitalier. Lancé en 2023 par le ministère de la santé et de la prévention, le programme CaRE (Cybersurveillance accélération et résilience des établissements), vise à renforcer la résilience numérique des établissements de santé, en mettant à leur disposition des référentiels et des outils pour faire face aux incidents, rattraper leur retard et pérenniser leur niveau de cybersécurisation. Dans la continuité des actions et dispositifs précédemment décrits, il élargit le périmètre des établissements ciblés. Il se structure autour des thématiques de gouvernance et résilience, de ressources et de leur mutualisation, de sensibilisation, de sécurité opérationnelle et s'accompagne de financements. Le ministère de la santé et de la prévention accompagne au quotidien l'ensemble des établissements de santé. Au-delà des mesures déjà engagées, il continuera d'adapter les réponses et les outils aux évolutions d'une cybermenace multiforme et évolutive.

Publiée dans le JO Sénat du 21/09/2023 - page 5559